EU Cyber Resilience Act: Was KMU bei vernetzten Produkten jetzt wissen müssen
Einleitung: Warum der CRA Ihr Unternehmen betrifft
Die Vernetzung digitaler Produkte schreitet in einem Tempo voran, das viele Unternehmen überrascht. Ob smarte Produktionsanlagen, vernetzte Bürogeräte, Firmware-Updates über das Internet oder mobile Applikationen – nahezu jedes digitale Produkt, das heute entwickelt oder vertrieben wird, ist potenziell vom EU Cyber Resilience Act (CRA) betroffen.
Am 10. Dezember 2024 trat die Verordnung (EU) 2024/2847 in Kraft. Bis zum 11. Dezember 2027 müssen alle betroffenen Produkte vollständig konform sein. Das klingt nach ausreichend Zeit – doch die Umsetzung erfordert tiefgreifende Änderungen in Entwicklungsprozessen, Dokumentation und Lieferketten. Wer jetzt nicht beginnt, riskiert, den Stichtag zu verpassen.
Dieser Leitfaden erklärt, was der CRA konkret bedeutet, welche Unternehmen betroffen sind, welche Pflichten entstehen – und wie Sie die Compliance strukturiert angehen können.
1. Was ist der EU Cyber Resilience Act?
Der Cyber Resilience Act ist die erste sektorübergreifende EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen einführt. Bisher gab es nur sektorspezifische Regelungen – etwa für Medizinprodukte oder Kraftfahrzeuge. Der CRA schliesst diese Lücke für alle anderen vernetzten Produkte.
Das Ziel der Verordnung ist zweifach: Erstens sollen Produkte mit weniger Sicherheitslücken auf den Markt kommen. Zweitens sollen Verbraucher und Unternehmen besser einschätzen können, wie sicher ein Produkt ist.
Definition: Ein „Produkt mit digitalen Elementen" ist jede Hardware oder Software, die direkt oder indirekt mit einem Gerät oder Netzwerk verbunden werden kann – also nahezu jedes moderne digitale Produkt.
Abgrenzung zu anderen EU-Regelwerken
| Regelwerk | Fokus | Betroffene |
|---|---|---|
| EU Cyber Resilience Act (CRA) | Produktsicherheit digitaler Produkte | Hersteller, Importeure, Händler |
| NIS-2-Richtlinie | Betriebssicherheit von Unternehmen | Kritische Infrastrukturen, wichtige Einrichtungen |
| DORA | Finanzsektor-Resilienz | Finanzdienstleister |
| DSGVO / revDSG | Datenschutz | Alle datenverarbeitenden Unternehmen |
2. Wer ist betroffen?
Der CRA gilt für alle Unternehmen, die Produkte mit digitalen Elementen auf dem EU-Markt bereitstellen – unabhängig vom Unternehmenssitz. Das bedeutet: Auch Schweizer Unternehmen, die ihre Produkte in die EU exportieren oder dort vertreiben, müssen die Anforderungen erfüllen.
Betroffene Produktkategorien
Vernetzte Hardware:
- Router, Firewalls, Netzwerkkomponenten
- Smart-Home-Geräte, Hausautomatisierungssysteme
- IoT-Geräte, industrielle Steuerungssysteme
- Smartphones, Laptops, Tablets, Wearables
- Überwachungskameras mit Fernzugriff
Software-Produkte:
- Betriebssysteme und Firmware
- Buchhaltungs- und Unternehmenssoftware
- Mobile Applikationen
- Browser, Passwort-Manager, VPN-Software
- Industrieautomatisierungssoftware
Wichtige Ausnahme: Reine SaaS-Lösungen (Software as a Service) fallen nicht unter den CRA, sondern unter die NIS-2-Richtlinie. Ebenso ausgenommen sind Medizinprodukte, Kraftfahrzeuge und Produkte für nationale Sicherheitszwecke.
Wichtig für KMU: Der CRA kennt keine Grössenausnahmen. Auch kleine und mittlere Unternehmen müssen die Anforderungen vollständig erfüllen. Der CRA sieht jedoch spezifische Unterstützungsmassnahmen für KMU vor, etwa vereinfachte Konformitätsbewertungsverfahren.
3. Die drei Produktklassen im Überblick
Der CRA unterscheidet zwischen drei Risikoklassen, die unterschiedliche Anforderungen an den Konformitätsnachweis stellen:
| Klasse | Beispiele | Konformitätsnachweis |
|---|---|---|
| Standardprodukte | Smart-TV, Spielekonsolen, einfache IoT-Geräte, Haushaltsgeräte mit WLAN | Selbstbewertung durch Hersteller |
| Wichtige Produkte Klasse I | Router (Privatgebrauch), Browser, Passwort-Manager, VPN-Software, Gebäudeautomatisierung | Standardisierte Konformitätsbewertung oder Drittprüfung |
| Wichtige Produkte Klasse II | Firewalls, Intrusion-Detection-Systeme, Industriesteuerungen, Smart-Meter-Gateways, Mikroprozessoren | Zwingend unabhängige Drittprüfung |
Die Klassifizierung basiert auf dem potenziellen Schadenspotenzial bei einem Sicherheitsvorfall. Produkte, die kritische Infrastrukturen steuern oder Zugang zu sensiblen Systemen ermöglichen, werden strenger reguliert.
4. Die fünf Kernpflichten für Hersteller
4.1 Security by Design
Cybersicherheit muss von Beginn an in den Entwicklungsprozess integriert werden – nicht nachträglich aufgepatcht. Konkret bedeutet das:
- Keine bekannten Schwachstellen bei Markteinführung
- Sichere Standardkonfigurationen (kein universelles Standardpasswort)
- Minimierung der Angriffsfläche
- Schutz der Vertraulichkeit, Integrität und Verfügbarkeit gespeicherter Daten
- Sicherheitsupdates über den gesamten Support-Zeitraum (mindestens 5 Jahre)
4.2 Schwachstellenmanagement
Hersteller müssen Sicherheitslücken aktiv überwachen und beheben. Dazu gehören:
- Regelmässige Sicherheitstests und Penetrationstests
- Koordinierter Prozess zur Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure)
- Bereitstellung von Sicherheitsupdates ohne zusätzliche Kosten für Nutzer
- Technische Dokumentation aller bekannten Schwachstellen
4.3 Software Bill of Materials (SBOM)
Eine der neuen Anforderungen ist die Erstellung einer Software-Stückliste (SBOM) – eine vollständige Liste aller Softwarekomponenten, Bibliotheken und Abhängigkeiten, die in einem Produkt verwendet werden. Die SBOM muss maschinenlesbar sein und auf dem neuesten Stand gehalten werden.
4.4 Meldepflichten (ab 11. September 2026)
Ab September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen melden:
- Innerhalb von 24 Stunden: Frühwarnung an ENISA und nationale CSIRT
- Innerhalb von 72 Stunden: Detaillierter Bericht zum Vorfall
- Innerhalb von 14 Tagen: Abschlussbericht mit Massnahmen
4.5 Technische Dokumentation und CE-Kennzeichnung
Alle CRA-konformen Produkte müssen das CE-Kennzeichen tragen. Dafür ist eine umfangreiche technische Dokumentation erforderlich, die mindestens 10 Jahre aufbewahrt werden muss. Die Dokumentation umfasst:
- Cybersicherheits-Risikoanalyse
- Nachweis der Konformitätsbewertung
- Beschreibung der Sicherheitsmassnahmen
- SBOM und Schwachstellenübersicht
5. Die Zeitachse: Was wann gilt
| Datum | Meilenstein |
|---|---|
| 10. Dezember 2024 | CRA tritt in Kraft (Verordnung (EU) 2024/2847) |
| 11. Juni 2026 | EU-Mitgliedstaaten müssen Konformitätsbewertungsstellen benennen |
| 11. September 2026 | Meldepflichten für aktiv ausgenutzte Schwachstellen werden verbindlich |
| 11. Dezember 2027 | Vollständige Anwendung aller Hauptpflichten – alle betroffenen Produkte müssen CRA-konform sein |
Wichtig für Bestandsprodukte: Produkte, die vor dem 11. Dezember 2027 auf den Markt gebracht wurden, sind grundsätzlich ausgenommen. Ausnahme: Wenn wesentliche Änderungen vorgenommen werden (z.B. neue Funktionen, Änderung des Verwendungszwecks), gelten die CRA-Anforderungen auch für diese Produkte.
6. Auswirkungen auf Schweizer Unternehmen
Die Schweiz ist kein EU-Mitglied, aber der EU-Markt ist für die meisten Schweizer Exporteure von zentraler Bedeutung. Der CRA gilt für alle Produkte, die auf dem EU-Markt bereitgestellt werden – unabhängig vom Herstellerstandort.
Schweizer Unternehmen, die digitale Produkte in die EU exportieren, müssen:
- Einen EU-Bevollmächtigten benennen, sofern sie keinen Sitz in der EU haben
- Alle CRA-Anforderungen vollständig erfüllen – es gibt keine Sonderregelungen für Drittstaaten
- Die technische Dokumentation auf Anfrage den EU-Marktüberwachungsbehörden vorlegen
Parallel dazu plant der Schweizer Bundesrat eine eigene nationale Cyber-Resilienz-Regulierung, die sich stark am CRA orientiert. Schweizer Unternehmen sollten daher mit einer doppelten Compliance-Anforderung rechnen.
Sanktionen bei Nichteinhaltung
| Verstoss | Maximale Busse |
|---|---|
| Verstoss gegen wesentliche Sicherheitsanforderungen | EUR 15 Mio. oder 2,5% des weltweiten Jahresumsatzes |
| Verstoss gegen andere CRA-Pflichten | EUR 10 Mio. oder 2% des weltweiten Jahresumsatzes |
| Falsche Angaben gegenüber Behörden | EUR 5 Mio. oder 1% des weltweiten Jahresumsatzes |
7. Der 6-Phasen-Fahrplan zur CRA-Compliance
Phase 1: Betroffenheitsanalyse (sofort)
Prüfen Sie, welche Ihrer Produkte unter den CRA fallen und welcher Risikoklasse sie angehören. Definieren Sie den Support-Zeitraum für jedes Produkt.
Phase 2: Gap-Analyse (Q1–Q2 2026)
Vergleichen Sie Ihre aktuellen Entwicklungs- und Sicherheitsprozesse mit den CRA-Anforderungen. Identifizieren Sie Lücken in den Bereichen Security by Design, Schwachstellenmanagement und Dokumentation.
Phase 3: Prozessanpassung (Q2–Q3 2026)
Implementieren Sie Security-by-Design-Prinzipien in Ihren Entwicklungsprozess. Etablieren Sie ein strukturiertes Schwachstellenmanagement und beginnen Sie mit der SBOM-Erstellung.
Phase 4: Meldepflichten vorbereiten (bis September 2026)
Richten Sie interne Prozesse für die 24-Stunden-Meldepflicht ein. Benennen Sie Verantwortliche und testen Sie den Meldeprozess.
Phase 5: Konformitätsbewertung (Q3–Q4 2026)
Führen Sie die erforderliche Konformitätsbewertung durch. Bei Klasse-II-Produkten beauftragen Sie eine akkreditierte Prüfstelle.
Phase 6: CE-Kennzeichnung und Markteinführung (bis Dezember 2027)
Schliessen Sie die technische Dokumentation ab, bringen Sie das CE-Kennzeichen an und stellen Sie sicher, dass alle Produkte vor dem Stichtag CRA-konform sind.
8. CRA und NIS-2: Das Zusammenspiel verstehen
Viele Unternehmen sind gleichzeitig von CRA und NIS-2 betroffen. Während der CRA produktbezogen ist, regelt NIS-2 die betriebliche Resilienz von Unternehmen selbst. Die beiden Regelwerke ergänzen sich:
- Ein Unternehmen, das vernetzte Produkte herstellt und als wichtige Einrichtung gilt, muss beide Regelwerke einhalten
- Massnahmen, die für NIS-2 implementiert werden (z.B. Incident-Response-Prozesse), können auch für die CRA-Meldepflichten genutzt werden
- Eine integrierte Compliance-Strategie spart Zeit und Ressourcen
9. Wie Creative Web Studio GmbH Sie unterstützt
Als zertifizierter Microsoft Partner und IT-Spezialist für KMU in der Zentralschweiz begleiten wir Sie bei der CRA-Compliance:
Betroffenheitsanalyse: Wir prüfen gemeinsam mit Ihnen, welche Ihrer Produkte und Systeme unter den CRA fallen und welche Risikoklasse relevant ist.
Gap-Analyse und Fahrplan: Wir analysieren Ihre bestehenden Sicherheitsprozesse und erstellen einen massgeschneiderten Umsetzungsfahrplan.
Security by Design: Wir unterstützen Sie bei der Integration von Sicherheitsanforderungen in Ihre Entwicklungsprozesse – von der Anforderungsanalyse bis zum Penetrationstest.
Dokumentation und CE-Kennzeichnung: Wir helfen Ihnen bei der Erstellung der technischen Dokumentation und begleiten Sie durch den Konformitätsbewertungsprozess.
Laufende Beratung: Cybersicherheit ist kein einmaliges Projekt. Wir stehen Ihnen als langfristiger Partner für Schwachstellenmanagement, Updates und regulatorische Änderungen zur Seite.
Fazit: Jetzt handeln, nicht warten
Der EU Cyber Resilience Act markiert einen Paradigmenwechsel: Cybersicherheit ist nicht länger optional – sie wird zur rechtlichen Pflicht. Für Unternehmen, die digitale Produkte herstellen oder vertreiben, bedeutet das tiefgreifende Änderungen in Entwicklung, Dokumentation und Lieferketten.
Die gute Nachricht: Bis Dezember 2027 bleibt noch Zeit. Aber die Erfahrung mit der DSGVO zeigt, dass Unternehmen, die früh beginnen, deutlich weniger Stress und Kosten haben als jene, die bis kurz vor dem Stichtag warten.
Kontaktieren Sie uns für eine kostenlose Erstberatung – wir helfen Ihnen, den CRA strukturiert und effizient umzusetzen.
Haben Sie Fragen?
Kontaktieren Sie uns für eine kostenlose Beratung und erfahren Sie, wie wir Ihnen helfen können.
